한 줄 요약 — Cloudflare는 추상 구문 트리(AST) 분석을 통해 복잡한 TypeScript 코드를 시각적인 워크플로우 다이어그램으로 자동 변환하여 코드의 실행 흐름을 직관적으로 파악하게 돕습니다. 왜 코드를 다이어그램으로 그려야 할까? 복잡한 비즈니스 로직을 담은 코드는 시간이 지날수록 읽기 어려워집니다. 특히 여러 단계가 병렬로 실행되거나 조건에 따라 분기되는 워크플로우(Workflow)의 경우, 텍스트로 된 코드만 보고 전체 구조를 파악하기란 쉽지 않습니다. 최근에는 코딩 에이전트가 생성한 코드를 검토해야 하는 상황도 늘어나면서, 내가 작성하지 않은 코드의 실행 흐름을 빠르게 이해해야 할 필요성이 커졌습니다. ...
쿠버네티스(Kubernetes) 환경에서 파드(Pod)가 재시작될 때 예상치 못한 지연이 발생하는 경우가 많습니다. 특히 퍼시스트 볼륨(Persistent Volume, PV)의 파일 개수가 수백만 개 단위로 많아지면 단순한 설정 변경이나 이미지 업데이트를 위한 재시작조차 수십 분이 걸리기도 합니다. 클라우드플레어(Cloudflare)는 최근 자사 인프라에서 테라폼(Terraform) 실행 도구인 아틀란티스(Atlantis)의 재시작 시간이 30분에 달하는 문제를 해결하며 연간 600시간의 엔지니어링 리소스를 확보했습니다. 이 글에서는 쿠버네티스의 기본 동작 방식이 대규모 볼륨에서 왜 병목을 일으키는지, 그리고 단 한 줄의 설정으로 이를 어떻게 해결할 수 있는지 정리합니다. ...
Cloudflare Gen 13 서버는 AMD EPYC Turin 프로세서의 고밀도 코어를 활용하기 위해 Rust 기반의 FL2 스택으로 전환했으며, 이를 통해 캐시 의존성을 극복하고 엣지 컴퓨팅(Edge Compute) 처리량을 2배로 끌어올렸습니다. 이 주제를 꺼낸 이유 인프라를 운영하다 보면 하드웨어 세대 교체 시점에 예상치 못한 성능 병목을 마주하곤 합니다. 단순히 최신 CPU를 도입한다고 해서 성능이 선형적으로 증가하지 않기 때문입니다. 특히 수천 개의 엣지 데이터 센터를 운영하는 환경에서는 하드웨어의 아키텍처 변화가 소프트웨어 스택에 미치는 영향이 치명적일 수 있습니다. ...
클라우드플레어(Cloudflare)의 13세대 서버 설계는 단순히 더 빠른 부품을 조립하는 단계를 넘어, 소프트웨어 스택의 변화가 하드웨어 결정에 어떤 영향을 미치는지 보여주는 전형적인 사례입니다. 특히 러스트(Rust) 기반의 FL2 스택 전환이 하드웨어의 물리적 한계를 어떻게 극복했는지에 초점을 맞춰 정리했습니다. 하드웨어의 캐시 용량을 줄이는 대신 코어 밀도를 극대화하고, 이를 소프트웨어 최적화로 보완하여 서버당 처리량을 2배로 끌어올린 하드웨어-소프트웨어 공동 설계의 결과물입니다. 성능 확장을 가로막던 하드웨어 제약과 소프트웨어의 해답 기존 12세대 서버에서 사용하던 AMD Genoa-X 프로세서는 대용량의 L3 캐시(3D V-Cache)를 탑재하여 요청 처리 속도를 높였습니다. 하지만 차세대 하드웨어를 검토하는 과정에서 코어 밀도를 높이면 코어당 할당되는 L3 캐시 용량이 급격히 줄어드는 문제에 직면했습니다. 기존의 FL1 소프트웨어 스택은 캐시 의존도가 높았기 때문에 하드웨어의 코어 수가 늘어나도 성능이 선형적으로 증가하지 않는 병목 현상이 예상되었습니다. ...
한 줄 요약 — 클라우드플레어(Cloudflare)가 발표한 계정 남용 방지(Account Abuse Protection)는 봇 차단을 넘어 일회용 이메일 탐지와 해시된 사용자 ID를 통해 인간과 봇이 결합된 복합적인 사기 공격을 원천 차단합니다. 이 주제를 꺼낸 이유 웹 서비스 운영 시 가장 골치 아픈 지점은 단순한 봇(Bot)의 공격이 아닙니다. 봇처럼 보이지 않으려는 정교한 인간의 의도와 자동화 도구가 결합된 계정 남용(Account Abuse) 문제입니다. 실제로 서비스를 운영하다 보면 신규 가입자의 절반 이상이 프로모션 혜택만 챙기고 사라지는 가짜 계정이거나, 유출된 계정 정보를 이용해 초당 수천 번의 로그인을 시도하는 상황을 마주하게 됩니다. 기존의 IP 기반 차단은 공격자가 주거용 프록시(Residential Proxy)를 사용해 IP를 계속 바꾸면 대응하기 어렵다는 한계가 명확했습니다. ...
한 줄 요약 — Cloudflare Workers AI가 Kimi K2.5 같은 대형 모델 지원을 시작하며, 인프라 최적화와 프리픽스 캐싱을 통해 에이전트 실행 비용을 77%까지 절감할 수 있는 통합 플랫폼으로 진화했습니다. 대형 언어 모델이 서버리스 환경으로 들어온 이유 LLM 에이전트(Agents)를 구축할 때 가장 큰 걸림돌은 모델의 추론 능력과 인프라의 파편화입니다. 단순히 프롬프트를 던지는 것을 넘어, 상태를 유지하고(Durable Objects) 긴 작업을 수행하며(Workflows) 안전한 환경에서 코드를 실행하는(Sandbox) 일련의 과정이 필요합니다. 그동안 Cloudflare Workers AI는 가벼운 모델 위주로 서비스되어 복잡한 추론이 필요한 에이전트 구현에는 한계가 있었습니다. 이번에 공개된 Kimi K2.5는 256k의 거대한 컨텍스트 윈도우(Context Window)와 멀티턴 도구 호출(Tool Calling)을 지원하며, 이를 서버리스 환경에서 직접 실행할 수 있게 되었습니다. ...
한 줄 요약 — 클라우드플레어(Cloudflare)가 출시한 AI Security for Apps는 기업 내부에 숨겨진 섀도우 AI를 찾아내고, 프롬프트 인젝션과 민감 데이터 유출 같은 새로운 유형의 위협을 WAF 계층에서 실시간으로 방어합니다. 왜 지금 AI 보안을 고민해야 할까 최근 사내 개발팀이나 현업 부서에서 독자적으로 AI 모델을 도입하는 속도가 보안 정책이 수립되는 속도를 훨씬 앞지르고 있습니다. 기존의 웹 애플리케이션은 정해진 규칙에 따라 동작하는 결정론적(Deterministic) 구조였기 때문에 특정 패턴을 막는 것만으로도 충분한 보안 효과를 거둘 수 있었습니다. ...
AI 에이전트(AI Agents)가 웹을 탐색하며 데이터를 수집하거나 API를 호출하는 비중이 급격히 늘어나고 있습니다. 하지만 네트워크 에러나 보안 차단이 발생했을 때 에이전트가 마주하는 응답은 여전히 사람을 위한 HTML 페이지인 경우가 대부분입니다. 클라우드플레어(Cloudflare)가 최근 도입한 RFC 9457 기반의 구조화된 에러 응답은 이러한 비효율을 해결하고 토큰 비용을 98% 이상 절감하는 실질적인 대안을 제시합니다. AI 에이전트가 읽기 힘든 무거운 HTML 에러 페이지 대신 RFC 9457 표준을 따르는 가벼운 JSON과 마크다운(Markdown)을 제공하여 토큰 소모를 줄이고 에이전트의 판단 정확도를 높입니다. ...
프록시 서버와 백엔드 간의 해석 차이를 이용해 보안 통제권을 무력화하는 리퀘스트 스머글링(Request Smuggling) 취약점이 최근 Rust 기반 프레임워크인 핑고라(Pingora) OSS에서 발견되었습니다. 프록시 보안 취약점을 왜 지금 살펴봐야 할까 클라우드플레어(Cloudflare)가 Nginx를 대체하기 위해 만든 핑고라는 최근 백엔드 인프라 업계에서 가장 뜨거운 오픈소스 프로젝트 중 하나입니다. 자바나 코틀린 기반의 마이크로서비스 아키텍처를 운영하는 시니어 개발자 입장에서, 프록시 계층의 보안은 서비스 전체의 생존과 직결되는 문제입니다. 우리가 구축한 API 게이트웨이나 인그레스 프록시(Ingress Proxy)가 외부의 악의적인 요청을 잘못 해석한다면, 그 뒤에 있는 스프링 부트(Spring Boot) 서버가 아무리 견고해도 소용이 없기 때문입니다. 이번에 공개된 CVE-2026-2833, CVE-2026-2835, CVE-2026-2836 취약점은 단순한 버그를 넘어 HTTP 프로토콜을 처리하는 프록시 설계의 근본적인 어려움을 보여줍니다. ...
TL;DR — Cloudflare가 API의 로직 결함을 사전에 탐지하는 **웹 및 API 취약점 스캐너(Web and API Vulnerability Scanner)**를 출시했습니다. 이 도구는 API 호출 간의 의존성을 이해하는 상태 기반(Stateful) 테스트와 API 호출 그래프(Call Graph) 기술을 활용하여, 기존 WAF가 방어하기 어려웠던 BOLA(Broken Object Level Authorization)와 같은 복잡한 권한 취약점을 자동으로 식별합니다. 배경과 문제 정의 전통적인 보안은 성벽을 쌓고 문을 지키는 ‘방어’의 영역이었습니다. 웹 애플리케이션 방화벽(WAF, Web Application Firewall)은 데이터가 있어야 할 자리에 코드가 삽입되는 SQL 인젝션(SQL Injection)이나 크로스 사이트 스크립팅(XSS) 같은 구문 오류(Syntax Error) 형태의 공격을 차단하는 데 매우 효과적입니다. 이러한 공격은 명확한 서명(Signature)이 존재하기 때문입니다. ...